Struts2检测工具

最新推荐文章于 2023-10-08 05:50:31 发布
VIP文章 最新推荐文章于 2023-10-08 05:50:31 发布
阅读量1.9k 收藏
点赞数
分类专栏: 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44940180/article/details/107983784
版权

Struts2

Struts2 是一个基于 MVC 设计模式的 Web 应用框架,它本质上相当于一个 servlet,在 MVC 设计模式中,Struts2 作为控制器 (Controller) 来建立模型与视图的数据交互

Struts2曝出2个高危安全漏洞,一个是使用缩写的导航参数前缀时的远程代码执行漏洞
另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”

漏洞影响版本:Struts 2.0.0 – Struts 2.3.15 可直接导致服务器被远程控制从而引起数据泄漏,影响巨大

1.Mvc框架
2.来源于webwork2,与struts1不兼容
3.运行环境是web容器
4.可多人协同,适合复杂可拓展的web应用
5.用的是ognl为表达式引擎
6.Xwork为struts2的底层核心

可能存在漏洞的路径

URL路径里有 *.action*.do还有某些*.JSP

工具

若扫出来有漏洞,可重新选择漏洞编号
进行命令执行(使用whoami可推测出操作系统,linux是root)
然后可继续进行文件上传

最低0.47元/天 解锁文章
雪碧可乐_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037,ST2-045,ST2-046,ST2-048,ST2-052,ST2-053,ST2-057的漏洞检测
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
Struts 2 全版本漏洞检测工具 18.09 过waf版.jar
01-14
struts2全版本检测,利用工具
Struts 2 全版本漏洞检测工具 18.09 过waf版
02-09
使用说明: 1、点击“检测漏洞”,会自动检测该URL是否存在S2-001、S2-005、S2-009、S2-013、S2-016、S2-019、S2-020/021、S2-032、S2-033/037、DevMode、S2-045/046、S2-048、S2-053、S2-057十余种漏洞。 2、“批量验证”,同时检测.......几种漏洞(为防止批量geshell,此功能已经永久删除,并不再开发)。 3、S2-020、S2-021仅提供漏洞扫描功能,因漏洞测试方法很大几率造成网站访问异常,本程序未提供。 4、对于需要登录的页面,请勾选“设置全局Cookie值”,并填好相应的Cookie,程序每次发包都会带上Cookie。 5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持UTF-8、GB2312、GBK编码转换。 9、每次操作都启用一个线程,防止界面卡死。
第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结
ABC_123的博客
05-29 1863
Part1 前言Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能。目前通用的做法就是使用burpsuite插件进行被动扫描,原理就是把所有与用户交互参数都用各种log4j2检测payload测试一遍,然后观察DNSlog中有没有访问记录。这个漏洞检测............
Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具
告白的博客
02-24 6489
Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 Java web 应用程序。该框架多版本存在远程代码执行,
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
剁椒鱼头没剁椒的博客
02-06 4981
如果在配置 Action 中 Result 时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。
Struts2系列漏洞利用工具-Struts2-Scan(二)
siu~
08-11 1239
Struts2全漏洞扫描利用工具
关于Struts2及Weblogic反序列化工具被他人擅自公布下载的声明
ABC_123的博客
06-19 2845
Part1 前言大家好,我是ABC_123。今天好多朋友给我发信息说,工具被人公布到某公众号提供下载了,还提倡加入qq群,好多人还误以为是我在提供下载,还误以为我与其他人进行合作啥的。。。(非ABC_123本人自愿的泄露事件)为此本人ABC_123在此郑重澄清:1、本人未授权未授意任何人公布工具的下载地址。公布出来的工具如果被恶意捆绑木马、加入后门,被用来社工钓鱼,本......
Struts2 完整笔记
JPA_soul的博客
06-02 361
MVC模式 MVC(Model-View-Controller 模型-视图-控制器)是一个存在于服务器表达层的模型。在MVC经典架构中,强制性地吧应用程序的输入、处理和输出分开,将程序分成3个核心模块——模型、视图、控制器 Struts2框架 Struts是Apache软件基金下的JAKARTA项目的一部分,它目前有两个版本(STRUTS1.X和STRUTS2.X)都是基于MVC经典设计模式的框架 Struts2的体系结构图 在web.xml中配置过滤器 struts2 org.apache.strut
struts2漏洞检测工具
03-21
struts2漏洞检测工具
struts2测试工具
09-26
具体做什么用的,忘记了,各位随意下载~~~~~~~~~~~~~~~~~~~~~不知道什么鬼策略,莫名把下载积分提了这么高.~~~
Struts2多版本一次性检测工具
11-03
Struts2多版本一次性检测工具 Struts2多版本一次性检测工具 Struts2多版本一次性检测工具
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
Struts 2 全版本漏洞检测工具
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
渗透测试--Struts2框架
最新发布
qq_53003652的博客
10-08 410
Struts2是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。在我国strust2被广泛使用与各种战略性资产,Struts 2是Struts的下一代产品,但和一代相比架构有很大的区别,近年也是爆出了很多的高危漏洞,本文旨在帮助大家理解在渗透测试中strust2的测试手法以及基本原理。
struts2综合漏洞扫描工具
热门推荐
qq_51478862的博客
04-16 1万+
python扫描工具更新2022-4-16 1.添加了S2-062漏洞利用 其实是对S2-061漏洞的绕过 支持命令执行,Linux反弹shell,windows反弹shell。 2.解决了了Windows反弹shell的功能 底层原理:解决了有效负载Runtime.getRuntime().exec()执行复杂windows命令 不成功的问题。 详情文章:https://www.yuque.com/docs/share/0abe4b7e-45fd-4902-a23a-ad51ab72cbb9?# 《使用j
struts2检测工具
weixin_51692662的博客
11-03 543
struts2漏洞
用Python编写带GUI界面的漏洞检测工具(Struts2)
weixin_47536169的博客
06-11 1317
用Python编写带GUI界面的漏洞检测工具(Struts2)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值